vBulletin是世界上用户非常广泛的PHP论坛系统,很多大型论坛都选择vBulletin搭建自己的社区。vBulletin高效,稳定,安全,在中国也有很多大型客户,比如蜂鸟网,51团购,海洋部落等在线上万人的论坛都在使用。

vBulletin团队对这个漏洞进行了研究,预计其可能是一个不需要认证的远程html脚本注入漏洞,这完全可能会演变成一个远程命令执行漏洞。遗憾的是,我们还没有完全掌握其细节。不过可以肯定的是,这个漏洞是非常严重的,黑客可以利用它进行恶意软件挂马,发送垃圾邮件,或者直接拿下网站。

安全建议

如果你正在使用VBSEO,可以使用以下安全措施:

1.直接抛弃VBSEO,毕竟它已经不再更新
2.打上vBulletin给出的补丁
3.在网站上装WAF,统一规避这一类的问题

官方修复方法

这里有一个简单的修复方法,只需更改几行代码

在vbseo/includes/functions_vbseo_hook.php里:

   if(isset($_REQUEST[‘ajax’]) && isset($_SERVER[‘HTTP_REFERER’]))
   $permalinkurl = $_SERVER[‘HTTP_REFERER’].$permalinkurl;

应该改为:

  // if(isset($_REQUEST[‘ajax’]) && isset($_SERVER[‘HTTP_REFERER’]))
  // $permalinkurl = $_SERVER[‘HTTP_REFERER’].$permalinkurl;

如果你正在运行“可疑文件版本”检测工具,你需要在更新在upload/includes/md5_sums_crawlability_vbseo.php里functions_vbseo_hook.php的MD5值,以保证这个简单的补丁不会报毒。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。